Forum OSKKO

Lista wątków

Szukaj

Zaloguj

Moje konto

Skrz. odbiorcza

Skrz. nadawcza

Użytkownicy

Pomoc,porady,regulamin

Forum OSKKO - wątek

TEMAT:

Worm. Klez. H

benedu gda

24-05-2003 22:11:52 [#01]

Dopóki nie zacząłem pisać na Forum OSKKO, dopóty nie czepiały się mnie wirusy. Teraz przyczepił się jeden – ten w tytule wątku. Przepraszam wszystkich tych, których list do mnie nie dotarły, zatrzymane przez mojego „czekistę”. Tym samym nie mogłem ich przeczytać i na nie odpowiedzieć. Skoro napisaliście do mnie, zapewne były to ważne dla Was sprawy> Dlatego też zdecydowałem się utworzyć ten wątek – wrzućcie tu swoje posty, lub napiszcie raz jeszcze do mnie, ale już bez wirusa. Teraz „czekista” dostał już pozwolenie do strzelania bez ostrzeżenia do każdego nosiciela wirusa, który ośmieli się wychylić głowę poza własny komputerJ

Tylko Baba Ewa jest chroniona:-) Do pozostałych z listy adresowany jest tekst Marka z O, pod którym też się podpisuję:

Piszę by Was ostrzec. Koniecznie sprawdźcie swoje komputery na okoliczność zakażenia wirusami bo takie wykryłem w Waszej poczcie. Zróbcie to niezwłocznie bo Wasze dane są zagrożone oraz na razie powstrzymajcie się przed wysyłaniem innym poczty, bo możecie nieświadomie ich komputery też zarazić.

krecik d_olender <d_olender@go2.pl>

(e-mail: webmaster@ic-net.com.cn)

z tematem "A special funny website"

Data wyslania: Thu, 22 May 2003 20:36:33 +0200

Bożanak "bojj" <bojj@2com.pl>

(e-mail: bojj@2com.pl)

z tematem "Poczty HART electronics"

Data wyslania: 20 May 2003 19:33:34 +0200

MM OLSZTYN MAREKUHAHAHA <MAREKUHAHAHA@POCZTA.INTERIA.PL>

(e-mail: /aimcque/jmail.rcv/8/jmf3ec53df1@xinhuanet.com)

z tematem "Darling"

Data wyslania: Fri, 16 May 2003 20:04:15 +0200

wiktoria Sofiawiktoria <Sofiawiktoria@poczta.onet.pl>

(e-mail: cdm@xinhuanet.com)

z tematem "A funny game"

Data wyslania: Mon, 12 May 2003 18:36:13 +0200

Zosia zofiko <zofiko@poczta.onet.pl>

(e-mail: cdm@xinhuanet.com)

z tematem "Panu niepotrzebna podwy"

Data wyslania: Fri, 9 May 2003 19:04:10 +0200

Iga PM12 <PM12@legnica.dialog.net.pl>

(e-mail: cdmin@xinhuanet.com)

z tematem "Let's be friends"

Data wyslania: Tue, 6 May 2003 19:36:36 +0200

Baba Ewa wokcule <wokcule@poczta.onet.pl>

(e-mail: Service@peoplemail.com.cn)

z tematem "Panu niepotrzebna podwy"

Data wyslania: Thu, 1 May 2003 23:19:22 +0200

Majka

24-05-2003 22:58:38 [#02]

jesteśmy niewinni :-)

I-Worm.Klez - nadpisuje pliki "śmieciami"

Jest to robak internetowy działający w systemach Win32. Rozprzestrzenia się poprzez wiadomości e-mail oraz sieć lokalną. Po uruchomieniu robak zapisuje na dysku swoją kopię i uruchamia ją. Wirus infekuje większość plików PE EXE zapisanych w komputerze.

Instalacja:

Podczas instalacji robak kopiuje się do katalogu systemowego z nazwą krn132.exe i umieszcza tę kopię w kluczu auto-run rejestru systemowego:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Krn132 = %SYSTEM%\Krn132.exe

Rozprzestrzenianie:

W celu wysyłania zainfekowanych wiadomości robak korzysta z protokołu SMTP, skanuje bazę danych WAB systemu Windows i wysyła wiadomości pod wszystkie znalezione adresy.

Temat zainfekowanej wiadomości wybierany jest spośród poniższych możliwości:

Hello, How are you?, Can you help me?, We want peace, Where will you go?, Congratulations!!!, Don't cry, Look at the pretty, Some advice on your shortcoming, Free XXX Pictures, A free hot porn site, Why don't you reply to me?, How about have dinner with me together?, Never kiss a stranger

Treść wiadomości wygląda następująco:

I'm sorry to do so,but it's helpless to say sory.
I want a good job,I must support my parents.
Now you have seen my technical capabilities.
How much my year-salary now? NO more than $5,500.
What do you think of this fact?
Don't call my names,I have no hostility.
Can you help me?

Nazwa załączonego pliku: plik EXE posiadający losową nazwę.

W celu uruchamiania zainfekowanego załącznika robak wykorzystuje lukę w zabezpieczeniach programu Microsoft Internet Explorer. Wirus uaktywnia się w momencie podglądu wiadomości - nie jest konieczne kliknięcie na załączonym pliku.

Funkcja dodatkowa

13 dnia parzystych miesięcy robak uruchamia procedurę, która nadpisuje losową zawartością wszystkie pliki zapisane na dysku zainfekowanego komputera.

UWAGA!
Nie jesteś zalogowany!
Zanim napiszesz odpowiedź w tym wątku, zaloguj się!
Dopiero wtedy będziesz mógł/mogła wysłać wprowadzony komentarz na forum.
Jeśli nie masz jeszcze założonego konta na forum, załóż je.
Logowanie i/lub zakładanie konta.